4.13. сетей (машинный перевод)

nftables заменяет iptables в качестве основы фильтрации сетевых пакетов по умолчанию

nftables структура обеспечивает средства классификации пакетов и является назначенным преемником iptables, ip6tables, arptables, а также ebtables инструменты. Он предлагает множество улучшений в удобстве, функциях и производительности по сравнению с предыдущими инструментами фильтрации пакетов, в частности:

  • таблицы поиска вместо линейной обработки
  • единая основа для обоих IPv4 а также IPv6 протоколы
  • правила все применяются атомарно вместо извлечения, обновления и хранения полного набора правил
  • поддержка отладки и трассировки в наборе правил (nftrace) и отслеживание событий трассировки (в nft инструмент)
  • более согласованный и компактный синтаксис, без специфичных для протокола расширений
  • Netlink API для сторонних приложений

Аналогично iptables, nftables использовать таблицы для хранения цепей. Цепочки содержат индивидуальные правила выполнения действий. nft Инструмент заменяет все инструменты из предыдущих структур фильтрации пакетов. libnftables библиотека может быть использована для низкоуровневого взаимодействия с nftables Netlink API через libmnl библиотека.

iptables, ip6tables, ebtables а также arptables инструменты заменяются одноименными заменами на основе nftables. Хотя внешнее поведение идентично их прежним аналогам, внутренне они используют nftables с наследством netfilter модули ядра через интерфейс совместимости, где это необходимо.

Влияние модулей на nftables набор правил можно наблюдать с помощью nft list ruleset команда. Поскольку эти инструменты добавляют таблицы, цепочки и правила к nftables набор правил, помните, что nftables операции с набором правил, такие как nft flush ruleset команда, может повлиять на наборы правил, установленные с помощью ранее отдельных устаревших команд.

Чтобы быстро определить, какой вариант инструмента присутствует, информация о версии была обновлена и теперь включает имя сервера. В RHEL 8 основанная на nftables iptables Инструмент печатает следующую строку версии:

$ iptables --version
iptables v1.8.0 (nf_tables)

Для сравнения выводится следующая информация о версии, если она унаследована iptables инструмент присутствует:

$ iptables --version
iptables v1.8.0 (legacy)

(BZ#1644030)

Известные функции TCP в RHEL 8

Red Hat Enterprise Linux 8 распространяется с сетевым стеком TCP версии 4.16, который обеспечивает более высокую производительность, лучшую масштабируемость и большую стабильность. Производительность повышена, особенно для занятого TCP-сервера с высокой скоростью входящего соединения.

Кроме того, два новых алгоритма перегрузки TCP, BBR а также NV, Доступны, предлагая меньшую задержку и лучшую пропускную способность, чем кубическая в большинстве сценариев.

(BZ#1562998)

firewalld использования nftables по умолчанию

С этим обновлением nftables Подсистема фильтрации является брандмауэром брандмауэра по умолчанию для firewalld демон. Чтобы изменить бэкэнд, используйте FirewallBackend вариант в /etc/firewalld.conf файл.

Это изменение вводит следующие различия в поведении при использовании nftables:

  1. iptables выполнение правил всегда происходит раньше firewalld правила

    • DROP в iptables означает, что пакет никогда не виден firewalld
    • ACCEPT в iptables означает, что пакет все еще подлежит firewalld правила
  2. firewalld прямые правила все еще реализуются через iptables в то время как другие firewalld использование функций nftables
  3. прямое выполнение правил происходит раньше firewalld общее принятие установленных связей

(BZ#1509026)

Заметные изменения в wpa_supplicant в RHEL 8

В Red Hat Enterprise Linux (RHEL) 8 wpa_supplicant пакет построен с CONFIG_DEBUG_SYSLOG включен. Это позволяет читать wpa_supplicant войти с помощью journalctl утилита вместо проверки содержимого /var/log/wpa_supplicant.log файл.

(BZ#1582538)

Сетевой менеджер теперь поддерживает виртуальные функции SR-IOV

В Red Hat Enterprise Linux 8.0 Сетевой менеджер позволяет настроить количество виртуальных функций (VF) для интерфейсов, поддерживающих виртуализацию однокорневого ввода-вывода (SR-IOV). Дополнительно, Сетевой менеджер позволяет настроить некоторые атрибуты VF, такие как MAC-адрес, VLAN, spoof checking установка и допустимые битрейты. Обратите внимание, что все свойства, связанные с SR-IOV, доступны в sriov настройка соединения. Для получения более подробной информации см. nm-settings(5) справочная страница.

(BZ#1555013)

Драйверы виртуальной сети IPVLAN теперь поддерживаются

В Red Hat Enterprise Linux 8.0 ядро включает поддержку драйверов виртуальной сети IPVLAN. В этом обновлении виртуальные сетевые интерфейсные карты (NIC) IPVLAN обеспечивают сетевое подключение для нескольких контейнеров, открывая один MAC-адрес для локальной сети. Это позволяет одному хосту иметь много контейнеров, преодолевая возможное ограничение на количество MAC-адресов, поддерживаемых одноранговым сетевым оборудованием.

(BZ#1261167)

Сетевой менеджер поддерживает подстановочный знак соответствия интерфейса для соединений

Ранее можно было ограничить соединение с данным интерфейсом, используя только точное совпадение в имени интерфейса. С этим обновлением соединения имеют новый match.interface-name свойство, которое поддерживает подстановочные знаки. Это обновление позволяет пользователям более гибко выбирать интерфейс для подключения с использованием шаблона с подстановочными знаками.

(BZ#1555012)

Улучшения в сетевом стеке 4.18

Red Hat Enterprise Linux 8.0 включает в себя сетевой стек, обновленный до версии 4.18 вышестоящей версии, которая содержит несколько исправлений и улучшений. Заметные изменения включают в себя:

  • Введены новые функции разгрузки, такие как UDP_GSO, и, для некоторых драйверов устройств, GRO_HW
  • Улучшена значительная масштабируемость для протокола пользовательских дейтаграмм (UDP).
  • Улучшен общий код опроса занятости.
  • Улучшенная масштабируемость для протокола IPv6.
  • Улучшенная масштабируемость для кода маршрутизации.
  • Добавлен новый алгоритм планирования очереди передачи по умолчанию,fq_codel, что улучшает задержку передачи.
  • Улучшенная масштабируемость для некоторых алгоритмов планирования очереди передачи. Например, pfifo_fast сейчас без блокировки.

(BZ#1562987)

Новые инструменты для конвертации iptables в nftables

Это обновление добавляет iptables-translate а также ip6tables-translate инструменты для преобразования существующих iptables или же ip6tables правила в эквивалентные для nftables Обратите внимание, что в некоторых расширениях отсутствует поддержка перевода. Если такое расширение существует, инструмент печатает непереведенное правило с префиксом # знак. Например:

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

Кроме того, пользователи могут использовать iptables-restore-translate а также ip6tables-restore-translate инструменты для перевода дампа правил. Обратите внимание, что до этого пользователи могут использовать iptables-save или же ip6tables-save Команды для печати дампа текущих правил. Например:

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

(BZ#1564596)

Новые функции, добавленные в VPN с использованием Сетевой менеджер

В Red Hat Enterprise Linux 8.0 Сетевой менеджер предоставляет следующие новые функции для VPN:

  • Поддержка протокола Internet Key Exchange версии 2 (IKEv2).
  • Добавил еще немного Libreswan варианты, такие как rightid, leftcert, narrowing, rekey, fragmentation опции. Для получения дополнительной информации о поддерживаемых параметрах см. nm-settings-libreswan справочная страница.
  • Обновлены шифры по умолчанию. Это означает, что когда пользователь не указывает шифры, NetworkManager-libreswan плагин позволяет Libreswan Приложение для выбора системного шифра по умолчанию. Единственное исключение - когда пользователь выбирает конфигурацию агрессивного режима IKEv1. В этом случае ike = aes256-sha1;modp1536 а также eps = aes256-sha1 значения передаются Libreswan

(BZ#1557035)

Новый тип чанка данных, I-DATA, добавлено в SCTP

Это обновление добавляет новый тип чанка данных, I-DATA, и планировщики потоков в протокол управления передачей потока (SCTP). Ранее SCTP отправлял пользовательские сообщения в том же порядке, в котором они были отправлены пользователем. Следовательно, большое пользовательское сообщение SCTP блокировало все остальные сообщения в любом потоке до полной отправки. Когда используешь I-DATA чанки, поле порядкового номера передачи (TSN) не перегружено. В результате SCTP теперь может планировать потоки различными способами, и I-DATA позволяет чередование сообщений пользователя (RFC 8260). Обратите внимание, что оба пира должны поддерживать I-DATA тип чанка.

(BZ#1273139)